Datenschutzkonformer Einsatz von Künstlicher Intelligenz in Unternehmen
Inhaltsverzeichnis
Optimieren Sie Prozesse, automatisieren Sie Workflows und fördern Sie Zusammenarbeit – alles an einem Ort.
Das Wichtigste in Kürze
- Die Nutzung von KI-Systemen erfordert einen bewussten Umgang mit Daten, insbesondere im Hinblick auf den Datenschutz.
- Unternehmensdaten, insbesondere personenbezogene Informationen, sollten vor der Eingabe in öffentliche KI-Tools anonymisiert oder bereinigt werden, um Datenschutzverletzungen zu vermeiden.
- Die Deaktivierung der Datennutzung zu Trainingszwecken ist bei vielen gängigen KI-Modellen wie ChatGPT, Google Gemini und Claude möglich und wird dringend empfohlen.
- Unternehmen sind gefordert, klare interne Richtlinien für den KI-Einsatz zu etablieren und Mitarbeiter entsprechend zu schulen.
- Der EU AI Act und die DSGVO bilden den rechtlichen Rahmen für den sicheren und verantwortungsvollen Einsatz von KI, wobei Übergangsfristen und risikobasierte Ansätze zu beachten sind.
Sicherer Einsatz Künstlicher Intelligenz: Ein Leitfaden für Unternehmen
Die rapide Entwicklung und Integration Künstlicher Intelligenz (KI) in den Geschäftsalltag bietet immense Chancen für Effizienzsteigerung und Innovation. Gleichzeitig ergeben sich jedoch komplexe Herausforderungen, insbesondere im Bereich des Datenschutzes und der rechtlichen Compliance. Als Senior Specialist Journalist und Analyst für Mindverse beleuchten wir die wesentlichen Aspekte, die Unternehmen beim sicheren und verantwortungsvollen Einsatz von KI-Systemen beachten müssen.
Die Datenproblematik: Warum Löschen nicht immer Löschen bedeutet
Eine zentrale Erkenntnis im Umgang mit KI-Chatbots wie ChatGPT ist, dass eine Aufforderung zur Löschung von Daten im Chat nicht zwangsläufig zu deren Entfernung von den Servern des Anbieters führt. Einmal in den Chatbot eingegebene Informationen, selbst wenn sie versehentlich geteilt wurden, können nachträglich oft nicht vollständig gelöscht werden. Dies stellt eine erhebliche Datenschutzherausforderung dar.
Für Unternehmen, die KI-Tools beispielsweise zur Analyse von Kundenfeedback nutzen möchten, ist die Datenbereinigung vor der Eingabe unerlässlich. Ohne eine solche Vorbereitung besteht das Risiko von Datenschutzverletzungen, da sensible oder personenbezogene Daten in ein System gelangen könnten, dessen Speicherung und Verarbeitung über die direkte Kontrolle des Nutzers hinausgeht.
Fünf Säulen des sicheren KI-Einsatzes
Um den Herausforderungen des datenschutzkonformen KI-Einsatzes zu begegnen, lassen sich fünf grundlegende Regeln ableiten, die Unternehmen beherzigen sollten:
1. Daten minimieren und anonymisieren
Der Grundsatz der Datenminimierung ist bei der Nutzung von KI von höchster Relevanz. Es sollten nur die Daten in KI-Systeme eingegeben werden, die für den jeweiligen Zweck absolut notwendig sind. Idealerweise sollten personenbezogene oder sensible Unternehmensdaten vor der Eingabe pseudonymisiert oder vollständig anonymisiert werden. Tools zur Dateikontrolle können hierbei unterstützen, um sicherzustellen, dass keine ungewollten Informationen in die KI gelangen.
2. Nutzung zu Trainingszwecken deaktivieren
Viele KI-Anbieter nutzen die eingegebenen Daten standardmäßig, um ihre Modelle weiter zu trainieren und zu verbessern. Dies kann jedoch datenschutzrechtlich problematisch sein, insbesondere wenn es sich um Unternehmens- oder personenbezogene Daten handelt. Bei gängigen KI-Modellen wie ChatGPT, Google Gemini oder Claude ist es in den Einstellungen möglich, die Nutzung der Daten zu Trainingszwecken zu deaktivieren:
- ChatGPT: Unter dem Punkt „Datenkontrolle“ in den Einstellungen.
- Google Gemini: Über den Reiter „Aktivitäten“, wobei hier die Speicherung generell deaktiviert wird, was den Zugriff auf vergangene Eingaben verhindert.
- Claude: Im Bereich „Datenschutz“ muss der Regler bei „Hilf dabei, Claude zu verbessern“ deaktiviert werden.
Unternehmen sollten diese Optionen aktiv nutzen und ihre Mitarbeiter entsprechend anweisen.
3. Klare interne Richtlinien und Schulungen etablieren
Der verantwortungsvolle Umgang mit KI beginnt im eigenen Unternehmen. Es ist entscheidend, dass Unternehmen gültige Richtlinien zur Tool-Nutzung und zum Datenschutz im Kontext von KI implementieren. Diese Richtlinien müssen den Mitarbeitern bekannt sein und regelmäßig geschult werden. Eine solche „AI Literacy“ stärkt nicht nur die Compliance, sondern auch das Bewusstsein für die potenziellen Risiken.
Arbeitgeber sollten zudem prüfen, ob und in welchem Umfang der Einsatz von KI-Tools zu betrieblichen Zwecken gestattet ist. Gegebenenfalls sind hierzu auch Mitbestimmungsrechte des Betriebsrats zu beachten, insbesondere wenn die KI zur Leistungskontrolle eingesetzt werden könnte.
4. Rechtsgrundlagen und Datenschutz-Folgenabschätzung prüfen
Jede Verarbeitung personenbezogener Daten durch KI erfordert eine gültige Rechtsgrundlage gemäß der Datenschutz-Grundverordnung (DSGVO), beispielsweise auf Basis einer Einwilligung, zur Vertragserfüllung oder eines berechtigten Interesses. Diese Rechtsgrundlage muss sorgfältig geprüft und dokumentiert werden.
Bei KI-Systemen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen (z.B. umfassendes Profiling, automatisierte Entscheidungen mit rechtlichen Auswirkungen, Verarbeitung sensibler Daten), ist gemäß Art. 35 DSGVO eine Datenschutz-Folgenabschätzung (DSFA) verpflichtend. Eine DSFA hilft, Risiken frühzeitig zu identifizieren und geeignete Schutzmaßnahmen zu ergreifen.
5. Transparenz und Betroffenenrechte gewährleisten
Der Grundsatz der Transparenz verlangt, dass die Verarbeitung personenbezogener Daten in einer für die betroffene Person nachvollziehbaren Weise erfolgt. Bei komplexen KI-Systemen, die oft als „Black Box“ agieren, stellt dies eine Herausforderung dar. Unternehmen sollten daher auf „Explainable AI“ (erklärbare KI) setzen und in der Lage sein, die Logik hinter KI-Entscheidungen nachvollziehbar darzulegen.
Die Betroffenenrechte, wie Auskunfts-, Berichtigungs- und Löschungsrechte, müssen auch im Kontext von KI gewährleistet werden. Dies erfordert eine sorgfältige Dokumentation aller Eingaben und Verarbeitungsprozesse sowie die Möglichkeit, auf Anfragen betroffener Personen zeitnah und umfassend zu reagieren.
Die Rolle des EU AI Act und der DSGVO
Der am 1. August 2024 in Kraft getretene EU AI Act schafft den weltweit ersten umfassenden Rechtsrahmen für Künstliche Intelligenz. Er verfolgt einen risikobasierten Ansatz, der unterschiedliche Compliance-Pflichten je nach Risikostufe eines KI-Systems vorsieht. Für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) und solche mit systemischem Risiko (GPAI+) treten ab dem 2. August 2025 schärfere Regeln in Kraft, die unter anderem Transparenz- und Kennzeichnungspflichten sowie Prüf- und Zulassungsverfahren umfassen.
Der AI Act ergänzt die bestehende DSGVO und verdrängt diese nicht. Die Verarbeitung personenbezogener Daten muss weiterhin auf einer Rechtsgrundlage der DSGVO basieren. Unternehmen müssen ihre Rolle als Anbieter oder Betreiber eines KI-Systems genau bestimmen, da hiermit unterschiedliche Pflichtenkataloge verbunden sind.
Besondere Herausforderungen bei internationalen KI-Anbietern
Die Nutzung von KI-Diensten internationaler Anbieter, insbesondere aus den USA oder China, birgt zusätzliche datenschutzrechtliche Komplexität. Bei US-Anbietern ist das EU-US Data Privacy Framework (DPF), das seit Juli 2023 mehr Rechtssicherheit bietet, zu beachten. Unternehmen sollten sicherstellen, dass der Anbieter dem Framework beigetreten ist und gegebenenfalls Standardvertragsklauseln sowie zusätzliche Schutzmaßnahmen implementiert. Wichtig ist auch die vertragliche Zusicherung, dass Eingabedaten nicht für das Training der KI-Modelle verwendet werden.
Chinesische KI-Tools gelten aufgrund der dortigen Sicherheitsgesetze, die Behörden weitreichende Zugriffsrechte einräumen, als besonders kritisch. Das Beispiel der Sperrung des chinesischen Chatbots DeepSeek durch die italienische Datenschutzbehörde im Jahr 2025 unterstreicht die Notwendigkeit, bei solchen Diensten entweder ganz auf die Übertragung personenbezogener Daten zu verzichten oder sie vollständig zu meiden.
Fazit und Ausblick
Der sichere und datenschutzkonforme Einsatz von Künstlicher Intelligenz ist keine Option, sondern eine Notwendigkeit. Die rechtlichen Rahmenbedingungen durch die DSGVO und den EU AI Act sind komplex und erfordern eine proaktive Herangehensweise von Unternehmen. Durch eine klare Zweckdefinition, Datenminimierung, die Deaktivierung von Trainingsdaten, etablierte interne Richtlinien, sorgfältige Risikobewertungen und die Gewährleistung von Transparenz können Unternehmen die Vorteile der KI nutzen und gleichzeitig rechtliche Risiken minimieren.
Datenschutz sollte dabei nicht als Hindernis, sondern als integraler Bestandteil einer verantwortungsvollen Innovationsstrategie verstanden werden. Unternehmen, die dies erkennen und umsetzen, schaffen Vertrauen bei Kunden und sichern sich einen nachhaltigen Wettbewerbsvorteil in der Ära der Künstlichen Intelligenz.
Bibliographie
- t3n.de: "KI sicher nutzen: Diese 5 Regeln musst du dir merken" (Stella-Sophie Wojtczak)
- Handelsblatt Live: "KI und Datenschutz: So nutzen Sie KI-Systeme DSGVO-konform" (Philipp Müller-Peltzer)
- assecor.de: "KI und Datenschutz 2025: Praxis-Leitfaden, DSGVO, AI Act & mehr" (Richard Kluth)
- datenschutz-generator.de: "KI & Datenschutz - Checkliste für den Einsatz künstlicher Intelligenz" (Dr. Thomas Schwenke)
- althammer-kill.de: "Neue KI-Regeln ab August 2025: Wer jetzt nicht handelt, riskiert mehr als nur Bußgelder" (Fabian Brandenburger)
- digimojo.de: "KI-Verordnung 2025: Neue Regeln für Künstliche Intelligenz: Das müssen kleine Unternehmen beachten"
- vbg.arbeiterkammer.at: "KI im Job nutzen: Was ist erlaubt?"
- kpmg.com: "Eight tips for using AI safely"
Artikel jetzt als Podcast anhören
.svg){kind=logo}
.png){kind=logo}
